2014年10月14日,披露了SSL加密协议版本3中的漏洞。 这个被称为POODLE(Padding Oracle On Downgraded Legacy Encryption)的漏洞允许攻击者使用中间人攻击以纯文本格式读取使用此版本协议加密的信息。
虽然SSLv3是旧版本的协议,主要是过时的, 但如果没有更好的加密选项, 许多软件仍然落在SSLv3上。更重要的是,攻击者有可能强制SSLv3连接,如果它是尝试连接的参与者的可用替代方法。
POODLE漏洞会影响使用SSLv3进行通信的任何服务或客户端。 因为这是协议设计的缺陷,而不是实现问题,所以使用SSLv3的每一个软件都很容易受到攻击。
什么是POODLE漏洞?
在CentOS上,您可以在此处的SSL配置文件中进行调整(如果启用了SSL):
里面你可以找到SSLProtocol指令。 如果不可用,请创建它。 修改此项以显式删除对SSLv3的支持: